本記事は、 2019 年 10 月 3 日に Azure Active Directory Identity Blog に公開された記事 (All your creds are belong to us!) を翻訳したものです。原文は こちら より参照ください。 先日ですが、お客様がアカウント乗っ取り (ATO) の標的となり、我々のチームが支援したということがありました。SMS と Authenticator アプリを使用して 2 段階認証を必須にしてアカウントを保護していたにも関わらず、攻撃者はアカウントに侵入し、パスワードが変更されていました。 MFA は破られてしまったのです。 前回のブログでは、パスワードで攻撃は防げない こと、多要素認証 (MFA) であれば攻撃を防げることを解説しました。ただ、何人かの方が「MFA は万能薬ではない」とコメントくださりました。標的型攻撃な...

Read more

こんにちは、Azure & Identity サポート チームの平形です。最近 Windows Virtual Desktop や Azure Files などと合わせて導入されることも増えている Azure AD Domain Services のよくある質問につきまして Q&A 形式でおまとめいたしました。 これから Azure AD Domain Services の導入を検討される場合には先に公開しております下記ブログをご覧ください。 Azure AD Domain Services の利用シナリオ Q&A タイトル Azure AD Domain Services を構築し、 Windows をドメイン参加させようとしたがエラーが発生してサインインできません。 Azure AD Domain Services にサインインする際に NetBIOS ドメイン...

Read more

本記事は、 2020 年 6 月 18 日に Core Infrastructure and Security Blog に公開された記事 (“Why are my users not prompted for MFA as expected?”) を翻訳したものです。原文は こちら より参照ください。 “MFA” もしくは “多要素認証 (Multi-Factor Authentication)” とは、リソースへのアクセスを許可する前に、ユーザー名とパスワード以上のものが必要とされる認証プロセスのことです。 これらには、SMS のテキスト メッセージを介してユーザーの携帯電話に送信されるワンタイム コードや、ユーザーのオフィスやデスクの電話機への電話、携帯電話のモバイル アプリに “プッシュ” されるワンタイム コード、もしくは物理的なトークンのコード (OATH トークンやハード...

Read more

こんにちは、Azure & Identity サポート チームの中山です。 昨今では、オンプレミス環境からクラウド環境へ随時移行を検討されている企業も多く、デバイスもオンプレミスの Active Directory で管理するのではなく、クラウド サービスである Azure AD と Microsoft Intune などの MDM で管理するといった方法も選択肢となっております。 今回は、Azure AD でデバイスを管理する方法の 1 つである “Azure AD 参加 (Azure AD Join)” 後に既定で有効になる Windows Hello for Business についての説明と、さらに Windows Hello for Business の無効化方法について紹介します。 Azure AD 参加については、以下の記事で Azure AD 登録の違いと比較し、ま...

Read more

Note2022 年 10 月 7 日更新: 「サインインログの見方に関する注意点」 の条件付きアクセスの判定条件が「or」となっていたところを「and」に修正しました。 こんにちは！ Azure & Identity サポートチームです。この記事では、Microsoft 365 や Azure など Microsoft のクラウドサービスにサインインしようとした場合に遭遇するエラー「現時点ではこれにはアクセスできません」 について、その原因と調査方法を解説します。 また、最後に、一般的にエラー画面に遭遇しサポート部門にお問い合わせする際のポイントもお伝えしようと思いますので、最後まで読んでいただけると嬉しいです。 目次 「現時点ではこれにはアクセスできません」と表示される原因 条件付きアクセスポリシーの確認方法 サインインログの見方に関する注意点 よくある質問 最後に 「現時...

Read more

こんにちは。 Azure Identity チームの山口です。 今回は Azure AD Premium P2 ライセンスにて利用可能な Azure AD Identity Protection (以降 Identity Protection と呼称) が持つ 2 つのリスク ポリシー「ユーザー リスク ポリシー」と「サインイン リスク ポリシー」の導入メリットをご紹介したいと思います。 本 Blog の記事は以下のような方を対象としています。 Identity Protection の機能を知りたい すでに Azure AD Premium P2 を購入しており、そこに含まれる Identity Protection をこれから活用していきたい セキュリティ管理の強化を検討しており、 Azure AD Premium P2 ライセンスの購入および利用を検討したい Microso...

Read more

本記事は、 2020 年 6 月 12 日に Azure Active Directory Identity Blog に公開された記事 (Azure AD Mailbag: Frequent questions about using device-based Conditional Access for remote work) を翻訳したものです。原文は こちら より参照ください。 皆さんこんにちは！今回はデバイス ベースの条件付きアクセスのシナリオに関し、よく頂戴するご質問にお答えしていきたいと思います。ここ数ヶ月間、従業員が安全にリモート ワークを実施できるよう多くの方が新たな課題に取り組まれるとともに、条件付きアクセスが適切な管理を実現するための重要な要素であるということを伺いました。先日の条件付きアクセスに関するベスト プラクティスの ブログ に対しても、素晴らしい反響を...

Read more

こんにちは、Azure Identity サポート チームの小田です。今回は、Azure AD オブジェクト数の拡張と、その確認方法についてご案内いたします。 Azure AD オブジェクト数の制限値Azure AD では、既定で最大 50,000 個の Azure AD オブジェクトを作成することが可能です。そこに検証済みドメイン (カスタム ドメイン) を 1 つ以上追加した場合、この Azure AD オブジェクト数の上限は 300,000 個に拡張されます。 参考情報Azure AD サービスの制限と制約https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-service-limits-restrictions Azure AD リソースとは、下記のようなオブジェ...

Read more

Azure AD Connect 構築後、運用中に同期処理にて正常に行えないことで下記の事象が発生します。事象発生内容、それぞれのケースの対処方法をお纏めいたしました。 permission-issue とは Azure AD Connect でユーザー オブジェクトを同期した場合の動作としては、下記の流れで処理が行われます。 Active Directory から Azure Active Directory に同期 Azure Active Directory から ユーザーオブジェクトの mS-DS-ConsistencyGuid 属性を取得し、Azure AD Connect に格納 Azure AD Connect から Active Directory のユーザーオブジェクトの mS-DS-ConsistencyGuid 属性の書き込み  上記の 3. の処理で通常はユーザ...

Read more

こんにちは。Azure Identity チームの埴山です。今回は、Azure AD の同意のフレームワークについて解説します。 早速ですが、皆さんはアプリケーションを利用しようと思った際に、以下のように、”管理者の承認が必要” と表示されてしまったことは無いでしょうか。 あるいは、以下のような同意画面を見たことはないでしょうか。 多くはアプリケーションを利用する際に表示される画面ですが、皆さんはこの画面の意味がお分かりでしょうか。 この画面は、Azure AD の同意のフレームワークと呼ばれる仕組みで、ユーザーがアプリケーションに対し、安全に権限を委任するための仕組みです。 今回は、この同意のフレームワークについて、どのような機能であり、”管理者の承認が必要” と表示されたときには、どのように対処すればよいのか、次の順番で解説します。 何のための機能なのか アプリケーションに同意を...

Read more